“AccountDumpling” nomi bilan aniqlangan murakkab kiberjinoyat kampaniyasi butun dunyo bo‘ylab taxminan 30,000 ta Facebook akkauntni kompromat qilgan. Guardio Labs tomonidan aniqlangan ushbu operatsiya Google AppSheet platformasidan foydalanib, an’anaviy email xavfsizlik filtrlari va himoya mexanizmlarini aylanib o‘tgan.
"Bu hujum oddiy phishing emas — u platformalarga bo‘lgan ishonchdan foydalanadi."
Hujumchilar Google’ning rasmiy no-code platformasi — AppSheet orqali phishing xabarlarini tarqatgan. Ushbu email’lar to‘g‘ridan-to‘g‘ri Google serverlaridan yuborilgani sababli, ular SPF, DKIM va DMARC tekshiruvlaridan muvaffaqiyatli o‘tadi.
Email manzili sifatida noreply@appsheet.com ishlatilgani tufayli, spam filtrlari va xavfsizlik tizimlari bu xabarlarni xavfsiz deb qabul qiladi. Natijada foydalanuvchilar faqat xabar ichidagi kontentni tekshirish orqali firibgarlikni aniqlashi mumkin bo‘ladi.
Ushbu kampaniya orqali hujumchilar login ma’lumotlari, ikki bosqichli autentifikatsiya kodlari, tug‘ilgan sana va hatto shaxsni tasdiqlovchi hujjatlarni qo‘lga kiritgan. Keyinchalik esa o‘g‘irlangan Facebook Business akkauntlari sotilgan yoki egalariga qayta pullik xizmat sifatida taklif qilingan.
"Bu yerda butun boshli jinoyat ekotizimi mavjud — o‘g‘irlash, foydalanish va yana sotish."
Attack and Evasion Methodologies
Kampaniya juda yaxshi tashkil etilgan bo‘lib, u to‘rtta asosiy phishing modeliga bo‘lingan:
1. Policy Violation (Qoidabuzarlik tahdidi)
Foydalanuvchilarga Facebook akkaunti bloklanishi haqida soxta xabarlar yuboriladi. Ushbu sahifalar Netlify’da joylashtiriladi va haqiqiy Facebook sahifalaridan nusxa olinadi.
2. Reward Promise (Mukofot va’da qilish)
Ko‘k belgi (Blue Badge) yoki reklama bonuslari taklif qilinadi. Vercel platformasi ishlatiladi va foydalanuvchini aldash uchun soxta reCAPTCHA va real vaqt validatsiya tizimlari qo‘llaniladi.
3. Live Control (Jonli boshqaruv phishing)
Google Drive va Canva orqali yuborilgan PDF fayllar orqali amalga oshiriladi. Bu yerda WebSocket texnologiyasi orqali hujumchi real vaqt rejimida foydalanuvchi bilan ishlaydi.
4. Social Engineering (Ijtimoiy muhandislik)
Meta yoki Apple kabi kompaniyalardan soxta ish takliflari yuboriladi. Keyinchalik hujumchilar foydalanuvchi bilan bevosita muloqotga o‘tib ishonch hosil qiladi.
Ushbu kampaniyaning eng muhim qismi — barcha ma’lumotlar Telegram botlari orqali real vaqt rejimida yuborilishi hisoblanadi.
O‘g‘irlangan ma’lumotlar darhol yopiq Telegram kanallarga uzatiladi va operatorlar ularni tekshirib, akkauntlarni zudlik bilan egallab oladi.
"Tizim shu darajada tez ishlaydiki, akkaunt o‘g‘irlanishi deyarli bir necha soniya ichida sodir bo‘ladi."
Tahlillar shuni ko‘rsatdiki, ushbu infratuzilma orqali 30,000 ga yaqin foydalanuvchi ma’lumotlari qayta ishlangan.
Geografik tahlilga ko‘ra, hujum qurbonlarining 68.6% AQSh hududida joylashgan.
Guardio Labs ushbu kampaniyaning asosiy manbasini Vetnamlik hujumchiga bog‘lashga muvaffaq bo‘lgan. Sabab — operatsion xatolik.
Canva orqali yaratilgan PDF faylda muallif metadata’si saqlanib qolgan va unda “PHẠM TÀI TÂN” nomi aniqlangan. Keyinchalik bu shaxs Facebook akkaunt tiklash xizmatlarini reklama qiluvchi profil bilan bog‘langan.
"Bu esa juda xavfli sxemani ochib beradi — hujumchilar akkauntni o‘g‘irlaydi va keyin uni qayta tiklashni pullik xizmat sifatida sotadi."
